Base de datos de vulnerabilidadesCVE-2026-45305

CVE-2026-45305:
PHP Análisis y mitigación de vulnerabilidades

Description

Symfony\Component\Yaml\Parser::cleanup() strips the optional %YAML directive header, leading comments, and document start/end markers before parsing. The original regexes contained overlapping quantifiers, most notably '#^%YAML[: ][\d.]+.*\n#u', whose [\d.]+ and .* overlap on the dot, that exhibit catastrophic backtracking on crafted input. A single oversized %YAML directive header (or comment / document-marker line) makes the parser hang for an arbitrarily long time, denying service.

Resolution

The four regexes in Parser::cleanup() (YAML directive header, leading comments, document-start marker, document-end marker) have been rewritten with possessive quantifiers and unambiguous character classes so backtracking cannot occur. The patch for this issue is available here for branch 5.4.

Credits

Symfony would like to thank Pietro Tirenna (Shielder) for reporting the issue and Nicolas Grekas for fixing it.

Fuente: NVD

Visualización de instancias vulnerables

¿No eres cliente? Mira cómo Wiz mapea CVEs como este a rutas reales de ataque en la nube.

Ver demostración de 12 minutos

2.7

Puntuación

Publicado May 27, 2026

Severidad LOW

Puntuación CNA N/A

Tecnologías afectadas

PHP
Linux Debian

Tiene exploit público No

Tiene el exploit CISA KEV No

Fecha de lanzamiento de CISA KEV N/A

Fecha de vencimiento de CISA KEV N/A

Percentil de probabilidad de explotación (EPSS) N/A

Probabilidad de Explotación (EPSS) N/A

Paquetes y bibliotecas afectados

composer://symfony/yaml
symfony/symfony

Fuentes

NVD
Debian Security Tracker
- Debian 11, 12, 13 No hay soluciónAñadido en:May 21, 2026
- Debian 14 Tiene ArregloAñadido en:May 27, 2026
Echo
- Echo No hay soluciónAñadido en:May 21, 2026
GitHub Advisory Database
- Composer Severidad LOWTiene ArregloAñadido en:May 28, 2026
PHP Security Advisories Database
- Composer Tiene ArregloAñadido en:May 20, 2026
Ubuntu Security Tracker
- Ubuntu 18.04, 20.04, 22.04, 24.04, 25.10 Severidad MEDIUMNo hay soluciónAñadido en:May 21, 2026

Obtén una evaluación de riesgo CVE

Obtén una vista priorizada de los CVEs en tu nube, para que puedas centrarte en lo que es explotable, no solo en lo que está listado.

Solicitar evaluación

Relacionado PHP Vulnerabilidades:

CVE ID	Severidad	Puntuación	Tecnologías	Nombre del componente	Exploit de CISA KEV	Tiene arreglo	Fecha de publicación
CVE-2026-45704	HIGH	7.1	PHP	pimcore/pimcore	No	Sí	May 27, 2026
CVE-2026-45703	MEDIUM	6.4	PHP	pimcore/pimcore	No	Sí	May 27, 2026
CVE-2026-45305	LOW	2.7	PHP	composer://symfony/yaml	No	Sí	May 27, 2026
CVE-2026-45304	LOW	2.7	PHP	symfony	No	Sí	May 27, 2026
CVE-2026-45133	LOW	2.7	PHP	composer://symfony/symfony	No	Sí	May 27, 2026

Evaluación gratuita de vulnerabilidades

Compare su postura de seguridad en la nube

Evalúe sus prácticas de seguridad en la nube en 9 dominios de seguridad para comparar su nivel de riesgo e identificar brechas en sus defensas.

Solicitar evaluación

Recursos adicionales de Wiz

Obtén una demostración personalizada

¿Listo para ver a Wiz en acción?

"La mejor experiencia de usuario que he visto en mi vida, proporciona una visibilidad completa de las cargas de trabajo en la nube."

David EstlickCISO

"Wiz proporciona un panel único para ver lo que ocurre en nuestros entornos en la nube."

Adam FletcherJefe de Seguridad

"Sabemos que si Wiz identifica algo como crítico, en realidad lo es."

Greg PoniatowskiJefe de Gestión de Amenazas y Vulnerabilidades

Solicita una demo

CVE-2026-45305: PHP Análisis y mitigación de vulnerabilidades